揭示物聯(lián)網(wǎng)安全的5大噩夢(mèng)(附緩解措施)
前情提要:物聯(lián)網(wǎng)安全成本攀升
一份來(lái)自marketsandmarkets.com的報(bào)告數(shù)據(jù)顯示:到2021年,物聯(lián)網(wǎng)安全市場(chǎng)的估值將達(dá)到369億5000萬(wàn)美元。網(wǎng)絡(luò)安全行業(yè)混亂的增長(zhǎng),又一波資本投資浪潮來(lái)襲。
2017年,專家預(yù)測(cè),開放的物聯(lián)網(wǎng)安全漏洞將導(dǎo)致關(guān)鍵基礎(chǔ)設(shè)施被破壞,來(lái)自競(jìng)爭(zhēng)對(duì)手的情報(bào)收集和知識(shí)產(chǎn)權(quán)盜竊事件將增加。與此同時(shí),2017年DDOS攻擊的威脅將進(jìn)一步蔓延。
1. IoT安全五大噩夢(mèng)
這部分首先列舉CSO們面臨的五大IoT安全噩夢(mèng)
噩夢(mèng)1號(hào)
每天新增近500萬(wàn)個(gè)物聯(lián)網(wǎng)設(shè)備,等于每天有更多的新增安全漏洞。根據(jù)Gartner的統(tǒng)計(jì)報(bào)告,2016年全球新增了550萬(wàn)個(gè)物聯(lián)網(wǎng)設(shè)備。越多的物聯(lián)網(wǎng)設(shè)備,意味著越多的安全漏洞,因?yàn)槊總€(gè)設(shè)備自身都存在多個(gè)安全問(wèn)題,而且由于這些設(shè)備如雨后春筍般的涌現(xiàn)到互聯(lián)網(wǎng)上,使得網(wǎng)絡(luò)威脅的攻擊面更加廣泛。
噩夢(mèng)2號(hào)
物聯(lián)網(wǎng)設(shè)備廣受歡迎,無(wú)處不在。對(duì)黑客而言,這些不設(shè)防/弱保護(hù)的物聯(lián)網(wǎng)設(shè)備簡(jiǎn)直就像是美味的水果一樣誘人。越來(lái)越多的已被黑客攻擊的物聯(lián)網(wǎng)消費(fèi)產(chǎn)品投入市場(chǎng),無(wú)疑會(huì)加重互聯(lián)網(wǎng)安全的噩夢(mèng),攻擊對(duì)象包括對(duì)企業(yè)數(shù)據(jù)、廠房和設(shè)備、員工以及消費(fèi)者。
對(duì)于攻擊者而言,以任意一個(gè)物聯(lián)網(wǎng)設(shè)備的任一漏洞為突破口從而控制整個(gè)網(wǎng)絡(luò),都不是一件難事。舉例說(shuō)明,2015年,TrapX的安全工程師利用NEST恒溫器的一個(gè)迷你USB端口,使用ARP欺騙程序成功對(duì)通信系統(tǒng)發(fā)起了MITM中間人攻擊。黑客采用MITM攻擊可以獲得設(shè)備兩端或通信系統(tǒng)的控制權(quán),包括企業(yè)的網(wǎng)絡(luò)系統(tǒng)。即使物聯(lián)網(wǎng)設(shè)備是家用的,不是企業(yè)財(cái)產(chǎn),但鑒于目前大量的遠(yuǎn)程和移動(dòng)辦公情景,攻破家庭網(wǎng)絡(luò)也就間接的入侵了企業(yè)的網(wǎng)絡(luò)。黑客的目標(biāo)可能不止是數(shù)據(jù),還會(huì)危及生命和財(cái)產(chǎn)安全。
噩夢(mèng)3號(hào)
IoT是解鎖消費(fèi)者私密數(shù)據(jù)的關(guān)鍵,增加了黑客的攻擊目標(biāo)和攻擊面,使得攻擊者很容易猜解到用戶常用密碼。在針對(duì)一些關(guān)鍵業(yè)務(wù)、政府、軍事、政治和文化目標(biāo)尋找突破口時(shí),這是一個(gè)很好的途徑。
IoT會(huì)收集消費(fèi)者的數(shù)據(jù)便于根據(jù)消費(fèi)者的喜好和特點(diǎn)做精準(zhǔn)的市場(chǎng)營(yíng)銷。攻擊者竊取并整合這些數(shù)據(jù)來(lái)分析消費(fèi)者的興趣和習(xí)慣,猜解用戶的密碼和安全問(wèn)題的答案,使用相同的賬號(hào)和密碼登錄到企業(yè)的網(wǎng)絡(luò)系統(tǒng)。(賬號(hào)密碼安全,真是一個(gè)硬傷啊)
噩夢(mèng)4號(hào)
大量伴隨IoT設(shè)備而新增的SCADA和工控系統(tǒng),使得廣泛性的破壞成為可能。比如當(dāng)工業(yè)控制系統(tǒng)連接到互聯(lián)網(wǎng),如何保護(hù)公用事業(yè)和國(guó)家基礎(chǔ)設(shè)施免受攻擊成為了一件非常具有挑戰(zhàn)性的任務(wù)。
“想象一下,攻擊者使用10%~15%的物聯(lián)網(wǎng)設(shè)備在美國(guó)發(fā)動(dòng)DDOS攻擊,能夠直接打垮整個(gè)華爾街的流量”
———Ben Simon,曾就職于以色列空軍網(wǎng)絡(luò)和安全部
最近發(fā)生了一個(gè)真實(shí)的案例,黑客攻擊烏克蘭電廠,導(dǎo)致該地區(qū)成千上萬(wàn)個(gè)居民無(wú)法用電。這次攻擊中,黑客瞄準(zhǔn)的是關(guān)鍵基礎(chǔ)設(shè)施的管理系統(tǒng)致使服務(wù)中斷,而這僅僅是一個(gè)非常小的例子。
噩夢(mèng)5號(hào)
廣受歡迎的、開放的物聯(lián)網(wǎng),使得很多電影劇情得以在現(xiàn)實(shí)中真實(shí)的上演。“Live Free or Die Hard”,這個(gè)哲學(xué)問(wèn)題再次引起了人們的深思。
物聯(lián)網(wǎng)讓黑客創(chuàng)建和使用大規(guī)模的僵尸網(wǎng)絡(luò)成為可能,可以想象,利用這些基礎(chǔ)設(shè)施發(fā)動(dòng)DDOS攻擊,將變的更加常規(guī)。
2. 如何減緩物聯(lián)網(wǎng)安全五大噩夢(mèng)和其它安全問(wèn)題
據(jù)Gartner預(yù)測(cè),2020年物聯(lián)網(wǎng)設(shè)備使用總量將達(dá)到208億。
想要保障設(shè)備安全,企業(yè)應(yīng)當(dāng)首先衡量對(duì)抗風(fēng)險(xiǎn)時(shí)的便利性和效率優(yōu)勢(shì)。行業(yè)安全解決方案和產(chǎn)品覆蓋到各類設(shè)備,物聯(lián)網(wǎng)安全培訓(xùn)加入到員工安全教育培訓(xùn)體系中。基于行為監(jiān)測(cè)和IDS/IPS安全技術(shù)應(yīng)該將物聯(lián)網(wǎng)設(shè)備相關(guān)的潛在惡意行為納入監(jiān)測(cè)范圍。
比如,當(dāng)企業(yè)在安裝和使用一個(gè)物聯(lián)網(wǎng)設(shè)備時(shí),需要實(shí)施新一代的防火墻設(shè)備的安全策略,只允許指定IP地址的連接,應(yīng)用第二代終端安全產(chǎn)品。當(dāng)前物聯(lián)網(wǎng)設(shè)備安全面臨的主要問(wèn)題時(shí)員工安全意識(shí)培訓(xùn),增加員工網(wǎng)絡(luò)連接和通信的安全性。
無(wú)論攻擊者如何猜解密碼和安全問(wèn)題的答案,使用額外的身份認(rèn)證可以保護(hù)系統(tǒng)安全。例如使用PINs和向用戶電子郵件發(fā)送認(rèn)證碼的方式進(jìn)行身份認(rèn)證是很好的例子。隨著猜解密碼的廣泛使用,企業(yè)必須適用并采取應(yīng)對(duì)措施。“企業(yè)必須依靠安全專家去了解心技術(shù)的風(fēng)險(xiǎn),確保他們不斷更新的技術(shù)沒(méi)有引入心的風(fēng)險(xiǎn),并在發(fā)現(xiàn)新風(fēng)險(xiǎn)時(shí)采取應(yīng)對(duì)措施”。
對(duì)于SCADA和傳統(tǒng)的工控系統(tǒng)而言,安全是一個(gè)挑戰(zhàn),因?yàn)檫@些系統(tǒng)往往都是封閉式的、甚至沒(méi)有基本的網(wǎng)絡(luò)安全機(jī)制。“至少,企業(yè)應(yīng)該對(duì)這些網(wǎng)絡(luò)進(jìn)行隔離,密切監(jiān)視,做好訪問(wèn)權(quán)限的控制”。
“工業(yè)控制系統(tǒng)具有高可用性的要求,這就意味著停機(jī)進(jìn)行升級(jí)是不可接受的事情。在理想的情況下,這些系統(tǒng)需要具備最先進(jìn)的網(wǎng)絡(luò)安全防御能力,并與互聯(lián)網(wǎng)隔離”。
需要注意,為了防止物聯(lián)網(wǎng)設(shè)備被用于DDOS攻擊,需要遵從兩個(gè)原則:保護(hù)設(shè)備,假設(shè)網(wǎng)絡(luò)是惡意的;保護(hù)網(wǎng)絡(luò),假設(shè)設(shè)備是惡意的。這種方法符合最小特權(quán)零信任模型的安全性規(guī)范。
企業(yè)可以通過(guò)向包含了物聯(lián)網(wǎng)的系統(tǒng)中增加安全策略,來(lái)減輕黑客將物聯(lián)網(wǎng)設(shè)備變?yōu)槿怆u的可能。爭(zhēng)取機(jī)構(gòu)和企業(yè)應(yīng)加強(qiáng)內(nèi)網(wǎng)安全解決方案的研究。使用欺騙性的新技術(shù)有助于組織識(shí)別已經(jīng)在網(wǎng)絡(luò)中存在的攻擊者。
另外,可以從其他方面考慮,加強(qiáng)IoT安全
物聯(lián)網(wǎng)安全的未來(lái)充滿挑戰(zhàn),但也并非無(wú)路可走。
首先,政府相關(guān)機(jī)構(gòu)應(yīng)當(dāng)對(duì)那些銷售安全性差的設(shè)備的公司開罰單,直到他們召回并修理自己的產(chǎn)品。
其次,立法方面應(yīng)當(dāng)有明確的規(guī)范,要求物聯(lián)網(wǎng)設(shè)備定期恢復(fù)到軟件的初始狀態(tài),這個(gè)要求可以踢出任何設(shè)法滲透到設(shè)備中的惡意軟件。
第三,將新的物聯(lián)網(wǎng)硬件設(shè)備對(duì)應(yīng)的IPv6地址限定在某一范圍內(nèi),這樣做會(huì)讓遭受DDOS攻擊的受害者可以更容易的通過(guò)ISP運(yùn)營(yíng)商拒絕掉所有來(lái)自物聯(lián)網(wǎng)設(shè)備的通信請(qǐng)求。
